SOS :: Security Operation Space
22 февраля, пятница, 00:00
|
Hot News:

Внешняя IT-служба Kaseya распространяла GandCrab

11 февраля 2019 г., понедельник, 13:38

Уязвимость системы удаленного доступа позволила вымогателям поразить свыше 1500 клиентов американского IT-провайдера.

Более 1500 организаций пополнили список жертв GandCrab. Злоумышленники атаковали компании через поставщика IT-услуг, напрямую подключенного к инфраструктурам заказчиков.

По сообщениям специалистов, один из клиентов заметил признаки вмешательства в понедельник 4 февраля. Преступники воспользовались брешью в одном из плагинов к системе удаленного доступа Kaseya. Известная с ноября 2017 года уязвимость позволяет отправлять серверу команды в обход аутентификации.

При помощи буквально одной команды взломщики установили шифровальщик GandCrab всем клиентам провайдера. На черном рынке любой желающий может взять этот зловред в аренду, поэтому выяснить, кто организовал кампанию, пока не удалось.

Ранее в атаках на IT-провайдеров были замечены сразу несколько APT-группировок, которые таким образом быстро расширяют масштаб своих кампаний. Нынешний взлом позволил преступникам заблокировать более 1500 организаций, а у компании — невольной соучастницы распространения GandCrab потребовали $2,6 млн выкупа. Ущерб от потери зашифрованных данных еще только предстоит оценить.

Вскоре после инцидента компания Kaseya напомнила о существующем патче к проблемному плагину. По словам разработчиков, сейчас заплатка установлена у «критически малой» доли пользователей. Производитель призвал администраторов срочно удалить устаревшие версии плагина. Примечательно, что и CVE-индекс у этой уязвимости появился только сейчас, когда ИБ-эксперты напомнили о ней корпорации MITRE.

Эксперты отмечают, что растущее число подобных атак сильно беспокоит профессиональное сообщество — внешней IT-поддержкой пользуется множество организаций. Ситуацию осложняет и тот факт, что клиенты бессильны перед угрозой. После того как преступники взломали ПО на стороне провайдера, защитные системы его заказчиков считали вредоносные действия легитимными.

Проблема уже привлекла внимание американского правительства. В октябре специалисты US-CERT сообщили, что следят сразу за несколькими группировками, которые угрожают IT-провайдерам. Преступники тщательно скрывают свои действия, используя легитимные учетные данные, доверенные приложения и предустановленные системные утилиты, — все это позволяет взломщикам похищать информацию и деньги.

Ранее австралийские специалисты обнаружили вредоносную кампанию, направленную на поставщиков хостинговых услуг. Преступники устанавливали нежелательное ПО на веб-серверы, что позволяло им добывать криптовалюту, манипулировать с трафиком и рекламными баннерами.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
08:15
07:15
06:15
05:32
17:55
16:42
15:15
14:15
14:03
13:15
11:15
11:15
09:15
08:15
08:15
07:15
07:15
06:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.202
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.